O Webex é inerentemente seguro por padrão, e temos uma chave principal para criptografar todas as chaves de criptografia da sua organização. Se você preferir controlar a chave principal da sua organização, você pode fazer isso com o Control Hub e suas ferramentas de gerenciamento de chaves preferidas.
Como parte do nosso compromisso com a segurança de ponta a ponta, a Webex tem uma chave principal em nome de cada organização. Chamamos de chave principal porque ela não criptografa o conteúdo diretamente, mas é usada para criptografar as outras chaves da sua organização que criptografam o conteúdo. O nível base da hierarquia de chaves é chamado de chave de conteúdo (CK) e os níveis intermediários das chaves são chamados de chaves de criptografia de chave (KEK).
Reconhecemos que algumas organizações preferem gerenciar a própria segurança, por isso, estamos dando a você a opção de gerenciar sua própria chave principal do cliente (CMK). Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave mestra que o Webex usa para criptografar suas chaves de criptografia de conteúdo.
No futuro, uma chave se refere à CMK, a menos que especificado de outra forma.
Como funciona
O Webex mantém sua CMK em um módulo de segurança de hardware (HSM) para que os serviços Webex não tenham acesso ao valor da CMK.
O Control Hub mostra a CMK ativa ou revogada no momento e qualquer CMK pendente armazenada no HSM. Quando você precisa girar (recriptografar) o CMK, você gera seu novo CMK e criptografa-lo com a chave pública do HSM, de modo que apenas o HSM pode descriptografar e armazená-lo.
Em seguida, você carrega e ativa a nova CMK no Control Hub. O Webex começa imediatamente a usar a nova CMK para criptografar suas chaves de conteúdo. O Webex mantém a CMK antiga, mas somente até ter certeza de que suas chaves de criptografia de conteúdo estão protegidas pela nova CMK.
Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido. |
Reconhecemos que algumas organizações preferem gerenciar sua própria chave fora do Webex. É por isso que estamos dando a você a opção de gerenciar seu próprio CMK no Amazon Web Services (AWS) Key Management Service (KMS). Isso implica que você é responsável por gerenciar suas chaves no AWS KMS. Você autoriza o Webex a criptografar e descriptografar usando sua chave AWS KMS através do console AWS. Você fornece ao Webex sua ID de chave AWS KMS em vez de seu CMK. Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave AWS KMS que o Webex usa para criptografar suas chaves de criptografia de conteúdo na nuvem.
Como funciona
Você cria uma chave com o AWS. O AWS KMS é usado para gerenciar sua chave e armazena a chave em um módulo de segurança de hardware (HSM).
Você fornece ao Webex acesso para usar a chave AWS KMS através do console AWS.
Isso significa que, em vez de carregar seu CMK no Control Hub, você fornecerá ao Webex acesso à chave AWS KMS. A chave AWS KMS não deixa seu AWS KMS e os serviços Webex não têm acesso ao material da chave AWS KMS.
O Control Hub mostra a chave KMS do AWS ativa ou revogada e qualquer chave KMS do AWS pendente armazenada no KMS do AWS. Quando você precisa girar a chave AWS KMS, você gera sua nova chave AWS KMS com o console AWS KMS.
Em seguida, você adiciona e ativa a nova chave AWS KMS no Control Hub, fornecendo-a com o nome de recurso da Amazon (ARN) da nova chave AWS KMS. O Webex imediatamente começa a usar a nova chave AWS KMS para criptografar as chaves de conteúdo. O Webex não requer mais a antiga chave AWS KMS. A antiga chave AWS KMS desaparecerá do Control Hub depois que as chaves de criptografia de conteúdo forem rotacionadas e protegidas pela nova chave AWS KMS. O Webex não exclui a chave AWS KMS do AWS KMS. O administrador do cliente pode remover a chave do AWS KMS.
Ciclo de vida da chave
Definições de estado de chave
- Pendente
-
Uma chave nesse estado é armazenada no HSM, mas ainda não é usada para criptografia. O Webex não usa essa CMK para criptografia.
Somente uma chave pode estar nesse estado. - Ativo
-
Webex está atualmente usando esta CMK para criptografar outras chaves para sua organização.
Somente uma chave pode estar nesse estado. - Rotação
-
O Webex está temporariamente usando esta CMK. O Webex precisa dele para descriptografar seus dados e chaves que foram criptografados anteriormente por essa chave. Esta chave é aposentada quando a rotação (recriptografia) está concluída.
Várias chaves podem estar nesse estado se uma nova chave for ativada antes da conclusão da rotação. - Desativado
-
O Webex não está usando esta CMK. Esta chave não é mais usada para criptografia. Um tempo de vida útil da chave é definido, após o qual essa chave é removida do HSM.
- Revogado
-
O Webex não está usando esta CMK. Mesmo que haja dados e chaves que foram criptografados com essa chave, o Webex não poderá usá-la para descriptografar os dados e as chaves.
- Você só precisa revogar uma chave ativa se suspeitar que ela está comprometida. Essa é uma decisão séria, pois impede que muitas operações se comportem corretamente. Por exemplo, você não poderá criar novos espaços e não poderá descriptografar qualquer conteúdo no Webex Client.
- Somente uma chave pode estar nesse estado. Você deve reativar essa chave para girar (recriptografar) uma nova chave.
- Esta CMK pode ser excluída, mas você não tem que excluí-la. Você pode querer mantê-lo para descriptografia / recriptografia depois de resolver a violação de segurança suspeita.
- Excluída
-
O Webex não está usando esta CMK. O comportamento nesse estado é o mesmo que no estado Revogado, exceto que um tempo de vida útil da chave é definido, após o qual essa chave é removida do HSM.
- Se uma CMK excluída avançar para o estado Removida, você deverá recuperar a chave original para restaurar a funcionalidade da organização.
- Recomendamos que você mantenha uma cópia de backup da sua chave original, caso contrário, sua organização não funcionará mais.
- Removido
-
Esse é um estado lógico. O Webex não tem essa CMK armazenada no HSM. Não é exibido no Control Hub.
Propriedade
Ao assumir a propriedade da sua CMK, você deve:
- Assuma a responsabilidade pela criação segura e faça backup de suas chaves
- Entender as implicações de perder suas chaves
- Recriptografe seu CMK ativo pelo menos uma vez por ano como uma prática recomendada
Criação de chave
Você deve criar sua própria CMK usando esses parâmetros. Sua chave deve ser:
- 256 bits (32 bytes) de comprimento
- Criptografado com o esquema RSA-OAEP
- Criptografado com a chave pública do HSM em nuvem Webex
Seu software de geração de chaves deve ser capaz de:
- Função de hash SHA-256
- Função de geração de máscara MGF1
- Preenchimento OAEP PKCS#1
Consulte Exemplo: Criar e criptografar chaves com OpenSSL na guia Recursos neste artigo.
Autorização
Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua CMK.
1 | |
2 | Ir para .Para ativar o BYOK, alterne Traga sua própria chave (BYOK) ativado. Se você desabilitar BYOK, o Chave padrão comum do Webex torna-se a chave principal para sua organização. |
3 | Selecione Carregar uma chave personalizada e clique em Próximo . |
4 | Clique Baixar chave pública . Salve a chave pública do Webex HSM em um arquivo .pem no sistema local. |
5 | Crie uma chave aleatória de 256 bits (32 bytes) criptograficamente segura usando seu software de gerenciamento de chaves. |
6 | Use a chave pública Webex HSM para criptografar sua nova chave. Os parâmetros de criptografia necessários são:
Consulte Exemplo: Criar e criptografar chaves com OpenSSL na guia Recursos neste artigo.
|
7 | Arraste a chave criptografada do sistema de arquivos e solte-a na área de carregamento da interface do Control Hub ou clique em Escolher um arquivo . |
8 | Clique em Próximo. O Webex carrega sua chave no HSM, onde ela é descriptografada e validada. Em seguida, o Control Hub mostra o ID da sua nova CMK e o ID da CMK ativa no momento, se houver. Se esta for sua primeira CMK, a chave ativa no momento será a Chave padrão comum do Webex (a que usamos atualmente para criptografar as chaves da sua organização). |
9 | Escolha como você deseja ativar sua chave:
|
O que fazer em seguida
Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido. |
1 | |
2 | Ir para . |
3 | Vá para o CMK ativo. |
4 | Clique e selecione Girar . |
5 | Crie e criptografe uma nova chave (se você ainda não tiver feito isso). O processo é descrito em Criar e ativar a chave principal do cliente neste artigo.
|
6 | Arraste a nova chave do seu sistema de arquivos e solte-a no Control Hub. |
7 | Clique Ativar nova chave . A nova chave que você carregou entra no estado Ativo. O antigo CMK permanece em Rotação (estado de recriptografia) até que o Webex termine de criptografar todo o conteúdo com o novo CMK ativo. Depois de recriptografar, a chave é movida para o estado Aposentado. O Webex exclui a CMK antiga. |
1 | |
2 | Ir para . |
3 | Vá para a chave excluída. |
4 | Clique e selecione Undelete . |
5 | Confirme a restauração da chave. Depois de restaurado, o Control Hub mostra a chave no estado Revogado antes de ser excluído. Por exemplo, se você excluir uma chave revogada e restaurá-la, o Control Hub mostrará a chave restaurada no estado Revogado.
|
Propriedade
Ao tomar posse de sua chave AWS KMS, você deve:
- Assuma a responsabilidade pela criação segura e backup de suas chaves do AWS KMS.
- Entenda as implicações de perder suas chaves AWS KMS.
- Recriptografe sua chave AMS KMS ativa pelo menos uma vez por ano como uma prática recomendada.
Autorização
- Você deve estar autorizado a criar e gerenciar suas chaves no AWS KMS da sua organização Webex.
- Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua chave AWS KMS.
1 | Inicie sessão no AWS e vá para o console do AWS KMS. |
2 | Selecione Chaves gerenciadas pelo cliente e clique em Criar chave . |
3 | Crie a chave com os seguintes atributos:
|
4 | Clique em Próximo. |
5 | Revise suas configurações e clique em Concluir . Sua chave AWS KMS é criada.
|
6 | Vá para Chaves gerenciadas pelo cliente e clique no alias ou ID da chave para visualizar o ARN. |
O que fazer em seguida
Recomendamos que você mantenha uma cópia temporária do ARN. Este ARN é usado para adicionar e ativar sua chave AWS KMS no Control Hub.
1 | Inicie sessão no AWS e vá para o console do AWS CloudShell. | ||
2 | Execute Por exemplo:
|
Antes de você começar
Você deve criar uma chave AWS KMS antes de ativá-la no Control Hub. Consulte Criar uma chave AWS KMS neste artigo.
Você deve fornecer ao Webex acesso à chave AWS KMS. Consulte Autorizar Cisco KMS com acesso à chave AWS KMS neste artigo.
1 | |
2 | Ir para Trazer sua própria chave (BYOK) em. , e alternarSe você desabilitar BYOK, o Chave padrão comum do Webex torna-se a chave principal para sua organização. |
3 | Selecione Adicionar chave AWS KMS e clique em Próximo . |
4 | Obtenha o ARN do console AWS. |
5 | Insira o ARN no Control Hub e clique em Adicionar . O ARN da chave é carregado para o Cisco KMS, onde o acesso à chave é validado. Em seguida, o Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa, se houver. Se esta é sua primeira chave AWS KMS, a chave atualmente ativa é a Chave padrão comum Webex (aquela que atualmente usamos para criptografar as chaves da sua organização). |
6 | Escolha como você deseja ativar sua chave:
|
1 | Inicie sessão no Control Hub e vá para . |
2 | Vá para a chave AWS KMS ativa. |
3 | Clique e selecione Girar . |
4 | Insira sua nova chave AWS KMS e o novo ARN e clique em Adicionar . O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.
|
5 | Clique em Ativar. A nova chave AWS KMS que você carregou vai para o estado Ativo. A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub. |
1 | Inicie sessão no Control Hub e vá para . |
2 | Clique em Adicionar outra chave . |
3 | Insira sua nova chave AWS KMS e clique em Adicionar . O Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa no momento. O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo. |
4 | Clique em Ativar. A nova chave AWS KMS que você carregou vai para o estado Ativo. A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub. |
1 | Inicie sessão no Control Hub e vá para . |
2 | Vá para a chave AWS KMS ativa no momento. |
3 | Clique e selecione revogar localmente . |
4 | Confirme a revogação da chave. Pode até 10 minutos para revogar totalmente sua chave. A chave AWS KMS entra no estado Localmente revogado.
|
Se o administrador do cliente revogar a chave do console AWS KMS, a chave AWS KMS será exibida no Revogado pelo estado da Amazon no Control Hub. |
1 | Inicie sessão no Control Hub e vá para . |
2 | Vá para a chave KMS do AWS revogada. |
3 | Clique e selecione Excluir . |
4 | Confirme a exclusão da chave. Uma vez excluído, você pode recuperar a chave dentro de 30 dias. |
Recomendamos que você exclua a chave AWS KMS do Control Hub primeiro antes de excluir o CMK do console AWS. Se você excluir seu CMK do console AWS antes de excluir a chave AWS KMS no Control Hub, você pode ter problemas. Certifique-se de que a chave AWS KMS não esteja mais visível no Control Hub antes de excluir o CMK do console AWS. |
1 | Inicie sessão no Control Hub e vá para . |
2 | Vá para a chave AWS KMS excluída. |
3 | Clique e selecione Undelete . |
4 | Confirme a restauração da chave. Depois de restaurado, o Control Hub mostra a chave no estado Revogado. |
Se você tiver problemas com sua chave AWS KMS, use as seguintes informações para solucioná-la.
ARN chave AWS KMS. Por exemplo,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Estado-chave do AWS KMS. Por exemplo, a chave AWS KMS está desativada.
Este exemplo usa a versão 3.0 das ferramentas de linha de comando do OpenSSL. Ver OpenSSL para saber mais sobre essas ferramentas.
1 | |
2 | Ir para . |
3 | Clique Baixar chave pública . Você obtém a chave pública do Webex HSM em um arquivo .pem no sistema local. |
4 | Crie uma chave de 256 bits (32 bytes): O exemplo usa o nome de arquivomain_key .bin para sua nova chave não criptografada.
|
5 | Use a chave pública Webex HSM para criptografar sua nova chave:
O exemplo usa o nome de arquivomain_key_encrypted .bin para a chave de saída criptografada e o nome do arquivo path/to/public.pem para a chave pública Webex . A chave criptografada está pronta para o carregamento no Control Hub. |